5
在我的注册功能中使用此代码修剪和转义所有帖子可以吗?或者是更好的做法,修剪和逃避每个输入这很聪明还是不行?
// Trim and sanitize our input
$_POST = array_map('trim', $_POST);
$_POST = array_map('mysql_real_escape_string', $_POST);
if (invalidinput) dostuff
else insert into user (username,passwd) values ('{$_POST['username']}','{$_POST['passwd']}')
我当然更喜欢绑定参数,但只要你正在做一些事情来正确地逃避你的SQL输入,没有不使用它们的危害。 – 2010-01-22 21:36:02